DNS ו- DHCP ב- CentOS 7 - רשתות SMB

אינדקס כללי של הסדרה: רשתות מחשבים עבור חברות קטנות ובינוניות: מבוא

שלום חברים!. נראה במאמר זה כיצד נוכל ליישם את צמד השירותים החשוב עבור רשתות שהורכב מ- DNS ו- DHCP ב- CentOS - לינוקס, במיוחד בגרסת 7.2 שלה.

• כמה מאמרים על DNS מתייחסים לעובדה שהטמעת שירות זה מעט לא ברורה וקשה. אני לא מאוד מסכים עם הצהרה זו. אני מעדיף לומר שזה קצת רעיוני ושרבים מקבצי התצורה שלו כוללים תחביר מטריד. למרבה המזל, יש לנו כלים לבדוק, צעד אחר צעד, את התחביר של כל קובץ תצורה שאנו משנים. לכן, ננסה להפוך את הקריאה לפוסט זה לנעימה ומהנה ככל האפשר..

למי שמחפש מושגים בסיסיים לגבי שני השירותים, אנו ממליצים בחום להתחיל את החיפוש בוויקיפדיה, הן בגרסאות הספרדיות והן באנגלית. זה לא פחות נכון שמאמרים באנגלית כמעט תמיד שלמים וקוהרנטיים יותר. ובכל זאת, ויקיפדיה היא נקודת התחלה טובה מאוד.

לאלו מכם שרוצים באמת ללמוד על DNS ו- BIND, אנו ממליצים לקרוא את הספר «OReilly - DNS ו- BIND 4ed" נכתב על ידי פול אלביץ y קריקט ליו, או מהדורה מאוחרת יותר שבוודאי קיימת.

פרסמנו כבר מאמר בנושא שכותרתו «DNS ו- DHCP ב- openSUSE 13.2 Harlequin - רשתות קטנות ובינוניות»לאוהבי הסביבה הגרפית. עם זאת, מעתה הם יתמודדו עם מאמרים בנושא זה - ולא על אחרים - שנכתבו עם שימוש רב באמולטור של מסוף או קונסולה. וואו, בסגנון הקלאסי המשמש את מנהלי המערכת של UNIX® / Linux.

אם אתה רוצה לדעת יותר על שם המשפחה של כותרת המאמר הזה «רשתות קטנות ובינוניות»תוכלו לבקר בדף בבלוג זה«רשתות קטנות ובינוניות: קיצוץ וירטואלי ראשון«. בו תוכלו למצוא קישורים למאמרים רבים אחרים שפורסמו.

• לאחר סיום ההתקנה של מערכת ההפעלה CentOS 7 עם החבילות שאנו ממליצים עליהן, eספריה /usr/share/doc/bind-9.9.4/ מכיל כמות טובה של תיעוד עליו אנו ממליצים להתייעץ לפני שתתחיל בחיפוש באינטרנט מבלי שתדע קודם לכן, בקצות אצבעותיך ובביתך, תוכל למצוא את מבוקשך.

התקנת מערכת בסיס

נתונים כלליים של התחום ושרת ה- DNS

שם דומיין: desdelinux.אוהד
שם שרת DNS: dns.desdelinux.אוהד
כתובת IP: 192.168.10.5
מסיכת רשת משנה: 255.255.255.0

התקנה

אנו מתחילים בהתקנה חדשה או נקייה של מערכת ההפעלה CentOS 7 כפי שצוין במאמר הקודם «CentOS 7 Hypervisor I - רשתות SMB«. עלינו לבצע רק את השינויים הבאים:

• ב Imagen 22 «בחירת תוכנה«, אנו ממליצים לבחור בעמודה השמאלית«סביבת בסיס»האפשרות המתאימה ל-«שרת תשתית«, בעמודה הימנית«תוספים לסביבה נבחרת»בחר בתיבת הסימון«שרת DNS«. נתקין את שרת DHCP בהמשך.
• בואו נזכור את הצהרת המאגרים הנוספים כפי שמוצג ב Imagen 23, לאחר הגדרת הסימן «שם רשת וצוות".
• התמונות המתייחסות למחיצות שניצור בכונן הקשיח ניתנות רק כמדריכים. אל תהסס לבחור את המחיצות לפי שיקול דעתך, תרגולך ושיקול דעתך.
• לבסוף, ב תמונה 13 «רשת & שם צוות", עלינו לשנות את הערכים בהתאם לפרמטרים הכלליים של התחום המוצהר ושרת ה- DNS, מבלי לשכוח לציין את שם המארח - במקרה זה «DNS«- לאחר השלמת תצורת הרשת. זה חיובי לעשות פינג -מארח אחר- לכתובת ה- IP שצוינה לאחר שהרשת פעילה:

יש מעט מאוד ושינויים ברורים מאוד שעלינו לבצע ביחס למאמר הקודם.

בדיקות והתאמות ראשוניות

לאחר התקנת מערכת ההפעלה עלינו לבדוק לפחות את הקבצים הבאים, ולשם כך אנו מתחילים הפעלה באמצעות SSH מהמחשב שלנו מנהל מערכת.desdelinux.אוהד:

buzz @ sysadmin: ~ $ ssh 192.168.10.5
סיסמת buzz@192.168.10.5: כניסה אחרונה: יום שבת 28 בינואר 09:48:05 2017 משנת 192.168.10.1
[buzz @ dns ~] $

הפעולה הנ"ל עשויה להימשך זמן רב מהרגיל, והיא נובעת בעיקר מכך שאין לנו עדיין DNS ברשת המקומית. בדוק שוב מאוחר יותר ש- DNS פועל.

[buzz @ dns ~] $ cat / etc / hosts
127.0.0.1 localhost localhost.localdomain localhost4 localhost4.localdomain4 :: 1 localhost localhost.localdomain localhost6 localhost6.localdomain6

[buzz @ dns ~] $ cat / etc / hostname
DNS

[buzz @ dns ~] $ cat / etc / sysconfig / scripts network / ifcfg-eth0
TYPE=Ethernet
BOOTPROTO=none
DEFROUTE=yes
IPV4_FAILURE_FATAL=no
IPV6INIT=no
IPV6_AUTOCONF=yes
IPV6_DEFROUTE=yes
IPV6_PEERDNS=yes
IPV6_PEERROUTES=yes
IPV6_FAILURE_FATAL=no
NAME=eth0
UUID=946f5ac9-238a-4a94-9acb-9e3458c680fe
DEVICE=eth0
ONBOOT=yes
IPADDR=192.168.10.5
PREFIX=24
GATEWAY=192.168.10.1
DNS1=127.0.0.1
DOMAIN=desdelinux.אוהד

[buzz @ dns ~] $ cat /etc/resolv.conf 
# נוצר על ידי חיפוש NetworkManager desdelinuxשרת שמות .fan 127.0.0.1

התצורות העיקריות מגיבות לבחירות שלנו. שימו לב שגם בשרת Red Hat 7 - CentOS 7, מוגדר כברירת מחדל כאשר מנהל רשת כך שזה זה שמנהל את ממשקי הרשת, בין אם הם קווית או אלחוטית (WiFi), חיבורי VPN, חיבורי PPPoE וכל חיבור רשת אחר.

[buzz @ dns ~] $ sudo systemctl מנהל רשת
סיסמת [sudo] לבאז: ● networkmanager.service נטען: לא נמצא (סיבה: אין קובץ או ספרייה כאלה) פעיל: לא פעיל (מת)

[buzz @ dns ~] $ sudo systemctl status NetworkManager
● NetworkManager.service - מנהל רשת נטען: טעון (/usr/lib/systemd/system/NetworkManager.service; מופעל; מוגדר מראש של ספק: מופעלפעיל: פעיל (פועל) מאז יום שבת 2017-01-28 12:23:59 EST; לפני 12 דקות PID ראשי: 705 (NetworkManager) CGroup: /system.slice/NetworkManager.service └─705 / usr / sbin / NetworkManager - no-daemon

Red Hat - CentOS מאפשרת גם לחבר ולנתק ממשקי רשת באמצעות הפקודות הקלאסיות אם כן e אם למטה. בואו לרוץ על קונסולת שרתים:

[root @ dns ~] # ifdown eth0
המכשיר 'eth0' נותק בהצלחה.

[root @ dns ~] # ifup eth0
החיבור הופעל בהצלחה (נתיב פעיל D-Bus: / org / freedesktop / NetworkManager / ActiveConnection / 1)

• אנו מציעים אל תשנה את הגדרות ברירת המחדל שמציעה CentOS 7 ביחס מנהל רשת.

אנו מצהירים באופן סופי על המאגרים שאנו נשתמש בהם ולעדכן את מערכת ההפעלה במידת הצורך:

[buzz @ dns ~] $ su סיסמה: [root @ dns buzz] # cd /etc/yum.repos.d/
[root @ dns yum.repos.d] # ls -l
סה"כ 28 -rw-r - r--. שורש שורש אחד 1 1664 בדצמבר 9 CentOS-Base.repo -rw-r - r--. שורש שורש אחד 2015 1 בדצמבר 1309 CentOS-CR.repo -rw-r - r--. שורש שורש אחד 9 2015 בדצמבר 1 CentOS-Debuginfo.repo -rw-r - r--. שורש שורש אחד 649 9 בדצמבר 2015 CentOS-fasttrack.repo -rw-r - r--. שורש שורש אחד 1 בדצמבר 290 CentOS-Media.repo -rw-r - r--. שורש שורש 9 2015 1 בדצמבר 630 CentOS-Sources.repo -rw-r - r--. שורש שורש אחד 9 2015 בדצמבר 1 CentOS-Vault.repo

בריא לקרוא את התוכן של קבצי ההצהרה המקוריים מהמאגרים המומלצים של CentOS. השינויים שאנו מבצעים כאן נובעים מכך שאין לנו גישה לאינטרנט, ואנחנו עובדים עם מאגרים מקומיים שהורדו מכפר WWW, על ידי עמיתים שמקלים על חיינו. 😉

[root @ dns yum.repos.d] מקורי # mkdir
[root @ dns yum.repos.d] # mv CentOS- * original /

[root @ dns yum.repos.d] # nano centos-repos.repo
[centos-base]
name=CentOS-$releasever
baseurl=http://10.10.10.1/repos/centos/7/base/
gpgcheck=0
enabled=1

[centos-updates]
name=CentOS-$releasever
baseurl=http://10.10.10.1/repos/centos/7/updates/x86_64/
gpgcheck=0
enabled=1

[root @ dns yum.repos.d] # yum נקי הכל
תוספים טעונים: המהיר מירור, langpacks מאגרי ניקוי: centos-base centos-updates מנקים הכל

[root @ dns yum.repos.d] עדכון # yum
תוספים טעונים: המהיר מירור, langpacks בסיס בסיסי | 3.4 kB 00:00 עדכוני centos | 3.4 kB 00:00 (1/2): centos-base / primary_db | 5.3 מגהב 00:00 (2/2): centos-updates / primary_db | 9.1 מגהב 00:00 קביעת מראות מהירות ביותר אין חבילות המסומנות לעדכון

ההודעה «אין (קיימות) חבילות המסומנות לעדכון» - «אין חבילות המסומנות לעדכון»מציין כי על ידי הצהרת המאגרים העדכניים ביותר העומדים לרשותנו במהלך ההתקנה, הותקנו בדיוק החבילות העדכניות ביותר.

אודות הקשר SELinux וחומת האש

אנו מתמקדים במאמר זה - ביסודו - ביישום שירותי DNS ו- DHCP, שהוא מטרתו העיקרית.

אם קורא כלשהו בחר מדיניות אבטחה במהלך תהליך ההתקנה, כפי שמצוין בסעיף Imagen 06 של מאמר ההתייחסות «CentOS 7 Hypervisor I - רשתות SMB»משמש להתקנה של שרת DNS זה - DHCP, ואתה מגלה שאתה לא יודע כיצד להגדיר נכון את SELinux ואת חומת האש של CentOS, אנו ממליצים לך להפעיל את הדברים הבאים:

שנה את הקובץ / etc / sysconfig / selinux ולשנות SELINUX = אכיפה ידי SELINUX = השבת

[root @ dns ~] # nano / etc / sysconfig / selinux
# קובץ זה שולט במצב SELinux במערכת. # SELINUX = יכול לקחת אחד משלושת הערכים האלה: # אכיפה - מדיניות האבטחה של SELinux נאכפת. # מתירני - SELinux מדפיסה אזהרות במקום אכיפה. # מושבת - לא נטענת מדיניות SELinux.
SELINUX = מושבת
# SELINUXTYPE = יכול לקחת אחד משלושה שני ערכים: # ממוקד - תהליכים ממוקדים מוגנים, # מינימום - שינוי מדיניות ממוקדת. רק התהליכים שנבחרו הם pr $ # mls - הגנת אבטחה מרובת רמות. SELINUXTYPE = ממוקד

לאחר מכן הפעל את הפקודות הבאות

[root @ dns ~] # setenforce 0

[root @ dns ~] # עצירת firewallld שירות
הפניה מחדש אל / bin / systemctl עצירה של firewalld.service

[root @ dns ~] # systemctl השבת את firewallld
הסיר קישור /etc/systemd/system/dbus-org.fedoraproject.FirewallD1.service. הסיר קישור /etc/systemd/system/basic.target.wants/firewalld.service.

אם אתה מיישם שרת DNS הפונה לאינטרנט, אתה לא צריך לעשות את האמור לעיל, אלא להגדיר את ההקשר של SELinux ואת חומת האש כהלכה. לִרְאוֹת "תצורת שרתים עם GNU / Linux, מאת המחבר ג'ואל באריוס דוניאס" או תיעוד CentOS עצמו - Red Hat

אנו מגדירים את שם ה- BIND

• Eספריה /usr/share/doc/bind-9.9.4/ מכיל כמות טובה של תיעוד שאנו ממליצים להיוועץ בו לפני היציאה לחיפוש באינטרנט מבלי לדעת תחילה, בקצות אצבעותיך ובביתך, תוכל למצוא את מבוקשך

בהפצות רבות נקרא שירות ה- DNS המותקן דרך חבילת BIND בשם (שם לדמון). ב- CentOS 7 היא מותקנת מושבתת כברירת מחדל, על פי פלט הפקודה הבאה, שם היא מציינת שהסטטוס שלה הוא «נכה«, וכי מצב זה מוגדר מראש על ידי" המוכר "שלו - קבוע מראש של ספק. למען הפרוטוקול, BIND היא תוכנה חופשית.

הפעלת השירות הנקוב

[root @ dns ~] # systemctl status בשם
● named.service - דומיין שם האינטרנט של ברקלי (DNS) טעון: טעון (/usr/lib/systemd/system/named.service; נכה; מוגדר מראש של ספק: מושבתפעיל: לא פעיל (מת)

[root @ dns ~] # systemctl הפעל בשם
נוצר קישור סימלי מ /etc/systemd/system/multi-user.target.wants/named.service אל /usr/lib/systemd/system/named.service.

[root @ dns ~] # systemctl התחל בשם

[root @ dns ~] # systemctl status בשם
● named.service - דומיין שם האינטרנט של ברקלי (DNS) טעון: טעון (/usr/lib/systemd/system/named.service; מופעל; מוגדר מראש של ספק: מושבת)
   פעיל: פעיל (פועל) מאז יום שבת 2017-01-28 13:22:38 EST; לפני 5 דקות תהליך: 1990 ExecStart = / usr / sbin / בשם - u בשם $ OPTIONS (code = exited, status = 0 / SUCCESS) תהליך: 1988 ExecStartPre = / bin / bash -c if [! "$ DISABLE_ZONE_CHECKING" == "כן"]; ואז / usr / sbin / named-checkconf -z /etc/named.conf; אחר מהדהד "בדיקת קבצי אזור מושבתת"; fi (code = exited, status = 0 / SUCCESS) PID ראשי: 1993 (שם) CGroup: /system.slice/named.service └─1993 / usr / sbin / named -u בשם 28 Jan 13:22:45 dns בשם [1993]: שגיאה (רשת בלתי נגישה) פותרת './NS/IN': 2001: 500: 2f :: f # 53 28 בינואר 13:22:47 dns בשם [1993]: שגיאה (לא ניתן להשיג ברשת) פותרת './ DNSKEY / IN ': 2001: 500: 3 :: 42 # 53 28 בינואר 13:22:47 dns בשם [1993]: שגיאה (רשת בלתי נגישה) פותרת' ./NS/IN ': 2001: 500: 3 :: 42 # 53 28 בינואר 13:22:47 dns בשם [1993]: שגיאה (לא ניתן להגיע לרשת) פותר './DNSKEY/IN': 2001: 500: 2d :: d # 53 28 בינואר 13:22:47 dns בשם [1993 ]: שגיאה (לא ניתן להגיע לרשת) בפתרון './NS/IN': 2001: 500: 2d :: d # 53 28 בינואר 13:22:47 dns בשם [1993]: שגיאה (ברשת בלתי נגישה) בפתרון './DNSKEY/ IN ': 2001: dc3 :: 35 # 53 28 בינואר 13:22:47 dns בשם [1993]: שגיאה (לא ניתן להגיע לרשת) נפתרת' ./NS/IN ': 2001: dc3 :: 35 # 53 28 בינואר 13: 22:47 dns בשם [1993]: שגיאה (רשת אינה ניתנת להשגה) פותרת './DNSKEY/IN': 2001: 7fe :: 53 # 53 28 בינואר 13:22:47 dns בשם [1993]: שגיאה (רשת בלתי נגישה) res olving './NS/IN': 2001: 7fe :: 53 # 53 28 בינואר 13:22:48 dns בשם [1993]: zone-keys-managed: לא ניתן להביא את הגדרת DNSKEY '.': זמן קצוב

[root @ dns ~] # systemctl הפעלה מחדש בשם

[root @ dns ~] # systemctl status בשם
● named.service - דומיין שם האינטרנט של ברקלי (DNS) טעון: נטען (/usr/lib/systemd/system/named.service; מופעל; הגדרת הגדרות קבועות מראש של ספק: מושבתת)
   פעיל: פעיל (פועל) מאז יום שבת 2017-01-28 13:29:41 EST; לפני שניות תהליך: 1 ExecStop = / bin / sh -c / usr / sbin / rndc stop> / dev / null 1449> & 2 || / bin / kill -TERM $ MAINPID (code = exited, status = 1 / SUCCESS) תהליך: 0 ExecStart = / usr / sbin / named -u בשם $ OPTIONS (code = exited, status = 1460 / SUCCESS) תהליך: 0 ExecStartPre = / bin / bash -c אם [! "$ DISABLE_ZONE_CHECKING" == "כן"]; ואז / usr / sbin / named-checkconf -z /etc/named.conf; אחר מהדהד "בדיקת קבצי אזור מושבתת"; fi (code = exited, status = 1457 / SUCCESS) PID ראשי: 0 (שם) CGroup: /system.slice/named.service └─1463 / usr / sbin / called -u בשם 1463 Jan 28:13:29 dns בשם [41]: אזור המפתחות המנוהלים: קובץ היומן אינו מעודכן: הסרת קובץ היומן 1463 בינואר 28:13:29 dns בשם [41]: אזור המפתחות המנוהלים: נטען סדרתי 1463 בינואר 2 28:13:29 dns שם [41]: אזור 1463.in-addr.arpa/IN: טעון סדרתי 0 ינואר 0 28:13:29 dns בשם [41]: אזור localhost.localdomain / IN: טעון סדרתי 1463 ינואר 0 28:13:29 dns שם [41]: אזור 1463.in-addr.arpa/IN: טעון סדרתי 1.0.0.127 0 בינואר 28:13:29 dns בשם [41]: אזור 1463 .1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa / IN: טעון סדרתי 0 ינואר 28 13:29:41 dns בשם [1463]: אזור localhost / IN: טעון סדרתי 0 ינואר 28 13 : 29: 41 dns בשם [1463]: כל האזורים הנטענים 28 בינואר 13:29:41 dns בשם [1463]: פועל 28 בינואר 13:29:41 dns systemd [1]: התחיל ברקלי דומיין שם אינטרנט (DNS).

לאחר שנאפשר את השירות בשם ואנחנו מתחילים את זה בפעם הראשונה, את הפלט של הפקודה סטטוס systemctl בשם מראה שגיאות. כאשר אנו מפעילים מחדש את השירות למטה, ה- בשם יוצר את כל קבצי התצורה, אשר כברירת מחדל נחוצים להפעלתם הנכונה. לכן, כאשר אנו מבצעים את הפקודה שוב סטטוס systemctl בשם לא מוצגות שגיאות נוספות.

• קורא יקר, יקר ותובעני: אם ברצונך לברר -לפחות- איזו דרך מובילה לסוף חור הארנב, אנא קרא ברוגע את הפלטים המפורטים של כל פקודה. 😉 אין ספק שהמאמר ייראה מעט ארוך, אך אל תכחיש שהוא זוכה להסבר ולבהירות.

אנו משנים את הקובץ /etc/named.conf

הערות קוראים רבות מבטאות -אני לא אומר את זה- המאניה שיש לתחזוקה של הפצות לינוקס שונות, של איתור קבצי תצורת מערכת בתיקיות עם שמות שונים בהתאם להפצה. הם צודקים. אך מה אנו יכולים, המשתמשים הפשוטים המשתמשים בהפצות אלה, לעשות? לְהִסְתָגֵל! 😉

אגב, ב- FreeBSD, שיבוט UNIX® «המקור», הקובץ נמצא /usr/local/etc/namedb/named.conf; בעודו בדביאן, בנוסף לפיצול לארבעת הקבצים named.conf, named.conf.options, named.conf.default-zones, ושם.conf.local, נמצא בתיקיה / etc / bind /. מי שרוצה לדעת איפה openSUSE ממקם אותו, קרא «DNS ו- DHCP ב- openSUSE 13.2 Harlequin - רשתות קטנות ובינוניות«. הקוראים צודקים! 😉

וכמו שאנחנו תמיד עושים: לפני שנשנה משהו, אנו שומרים את קובץ התצורה המקורי תחת שם אחר.

[root @ dns ~] # cp /etc/named.conf /etc/named.conf.original

כדי להקל על החיים, במקום לייצר את המפתח TSIG עבור עדכוני DNS דינמיים על ידי DHCP, אנו מעתיקים את אותו מפתח מקש rndc. כמו dhcp.key.

[root @ dns ~] # cp /etc/rndc.key /etc/dhcp.key

[root @ dns ~] # nano /etc/dhcp.key
מקש "dhcp-key" {אלגוריתם hmac-md5; סודי "OI7Vs + TO83L7ghUm2xNVKg =="; };

כך ש בשם יכולים לקרוא את הקובץ שהועתק זה עתה, אנו משנים את קבוצת הבעלים שלו:

[root @ dns ~] # root root: שם /etc/dhcp.key [root @ dns ~] # ls -l /etc/rndc.key /etc/dhcp.key -rw-r -----. שורש אחד בשם 1 בינואר 77 28:16 /etc/dhcp.key -rw-r -----. שורש אחד בשם 36 1 בינואר 77:28 /etc/rndc.key

פרטים קטנים כמו הקודמים הם מה שיכול לשגע אותנו בניסיון להבין, עכשיו ... איפה הבעיה ...? עם עוד כמה שמות תואר שאנחנו לא כותבים מכבוד לכבוד.

עכשיו אם - סוף סוף! - נשנה את הקובץ /etc/named.conf. השינויים או התוספות שביצענו, ביחס למקור, נמצאים ב נוֹעָז. תסתכל טוב כמה מעטים.

[root @ dns ~] # nano /etc/named.conf
// // named.conf // // מסופק על ידי חבילת bind של Red Hat להגדרת תצורת ה- ISC BIND בשם (8) DNS // שרת כשרת שמירה במטמון בלבד (כפתרון DNS מקומי בלבד). // // ראה / usr / share / doc / bind * / sample / לדוגמא קבצי תצורה בשם. //

// רשימת בקרת גישה שמצהירה אילו רשתות יוכלו להתייעץ
// השרת שלי
acl הסתכל {
 127.0.0.0 / 8;
 192.168.10.0 / 24;
};

אפשרויות {
 // אני מצהיר שהדמון ששמו מקשיב גם לממשק
 // eth0 שיש לו IP: 192.168.10.5
    יציאת האזנה 53 {127.0.0.1; 192.168.10.5; };
    האזן ב- v6 יציאה 53 {:: 1; }; ספריה "/ var / named"; קובץ dump "/var/named/data/cache_dump.db"; קובץ סטטיסטיקה "/var/named/data/named_stats.txt"; קובץ memstatistics "/var/named/data/named_mem_stats.txt";

 // הצהרת משלחים
 // משלחים {
 // 0.0.0.0;
 // 1.1.1.1;
 //};
    // קדימה ראשונה;

    // אני מתיר שאילתות רק ל- ACL מירד שלי
    allow-query { mired; }; // כדי לבדוק עם הפקודה dig desdelinux.fan axfr // מתחנת העבודה SysAdmin ו-localhost בלבד // אין לנו שרתי DNS עבדים. אנחנו לא צריכים את זה...עד עכשיו.
 העברת הרשאה {localhost; 192.168.10.1; };

    / * - אם אתה בונה שרת DNS מורשה, אל תאפשר רקורסיה. - אם אתה בונה שרת DNS RECURSIVE (מטמון), עליך לאפשר רקורסיה. - אם לשרת ה- DNS הרקורסיבי שלך יש כתובת IP ציבורית, עליך לאפשר בקרת גישה כדי להגביל שאילתות למשתמשים החוקיים שלך. כישלון לעשות כן יביא לשרת שלך להיות חלק מהתקפות הגברה של DNS בקנה מידה גדול. יישום BCP38 ברשת שלך יצמצם מאוד את משטח ההתקפה הזה * /
    // אנו רוצים שרת AUTHORITY עבור ה- LAN שלנו - SME
    רקורסיה לא;

    הפעלת dnssec כן; אימות dnssec כן; / * נתיב למפתח DLV ISC * / bindkeys-file "/etc/named.iscdlv.key"; ספריה מנוהלת-מפתחות "/ var / named / dynamic"; קובץ pid "/run/named/named.pid"; file-keyfile "/ run/named/session.key"; }; רישום {channel default_debug {file "data / named.run"; דינמיות חומרה; }; }; אזור "." IN {סוג רמז; קובץ "named.ca"; }; כוללים "/etc/named.rfc1912.zones"; כוללים "/etc/named.root.key";

// אנו כוללים את מפתח TSIG לעדכוני DNS דינמיים // מאת DHCP
כוללים "/etc/dhcp.key";

// הצהרת שם, סוג, מיקום והיתר עדכון
// של אזורי רשומות ה- DNS // שני האזורים הם MASTERS
אֵזוֹר"desdelinux.אוהד" {
 סוג מאסטר;
 קובץ "dynamic/db.desdelinux.אוהד";
 allow-update {key dhcp-key; };
};

אזור "10.168.192.in-addr.arpa" {
 סוג מאסטר;
 קובץ "דינמי / db.10.168.192.in-addr.arpa";
 allow-update {key dhcp-key; };
};

אנו בודקים את התחביר

[root @ dns ~] # named-checkconf 
[root @ dns ~] #

מכיוון שהפקודה שלעיל אינה מחזירה דבר, התחביר תקין. עם זאת, אם נבצע את אותה פקודה, אך עם האפשרות -z, הפלט יהיה:

[root @ dns ~] # named-checkconf -z
zone localhost.localdomain/IN: נטען טורי 0 zone localhost/IN: טעון טורי 0 zone 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0. .ip6.arpa/IN: טעון סדרתי 0 אזור 1.0.0.127.in-addr.arpa/IN: טעון סדרתי 0 אזור 0.in-addr.arpa/IN: טעון סדרתי 0 אזור desdelinux.fan/IN: טעינה מקובץ מאסטר dynamic/db.desdelinux.fan נכשל: אזור הקובץ לא נמצא desdelinux.fan/IN: לא נטען עקב שגיאות. _בְּרִירַת מֶחדָל/desdelinuxFan/IN addr.arpa/IN: לא נטען עקב שגיאות. _default/10.168.192.in-addr.arpa/IN: הקובץ לא נמצא

כמובן שמדובר בשגיאות המתרחשות מכיוון שעדיין לא יצרנו את אזורי רישום ה- DNS לדומיין שלנו.

• למידע נוסף על הפקודה שם-צ'ק-קונף, לרוץ איש בשם-צ'ק-קונףלפני שתחפש מידע אחר באינטרנט. אני מבטיח לך שזה יחסוך הרבה זמן.

אנו יוצרים את הקובץ Direct Zone desdelinux.אוהד

... לא בלי קצת תיאוריה קודם. 😉

בתור תבנית ליצירת קובץ נתוני האזור, אנו יכולים לקחת את /var/named/named.empty, או /usr/share/doc/bind-9.9.4/sample/var/named/named.empty. שניהם זהים.

[root @ dns ~] # cat /var/named/named.empty 
$ TTL 3H @ IN SOA @ rname.invalid. (0; 1D סדרתי; רענן 1H; נסה שוב 1W; תפוג 3H); זמן מטמון מינימלי או שלילי לחיות NS @ A 127.0.0.1 AAAA :: 1

זמן החיים - הגיע הזמן לחיות TTL שיא SOA

בואו ניקח סוגריים כדי להסביר את TTL - זמן לחיות מהפנקס SOA - התחלת סמכות של אזור מאסטר. מעניין לדעת את משמעויותיהם כאשר אנו רוצים לשנות את אחד מערכיהם.

TTL $: זמן החיים - זמן לחיות לכל הרשומות בקובץ העוקבות אחר ההצהרה (אך קודמות לכל הצהרת $ TTL אחרת) ואין להן הצהרת TTL מפורשת.

סידורי: מספר סידורי של נתוני האזור. בכל פעם שאנחנו משנים ידנית רשומת DNS באזור, עלינו להגדיל את המספר הזה ב -1, במיוחד אם יש לנו שרתים עבדים או משניים. בכל פעם ששרת DNS משני או עבד יוצר קשר עם שרת האב שלו, הוא מבקש את המספר הסידורי של נתוני המאסטר. אם המספר הסידורי של העבד נמוך יותר, הנתונים עבור אזור זה בשרת העבדים אינם מעודכנים, והעבד מבצע העברת אזור לעדכון עצמו.

לרענן: זה אומר לשרת העבדים את מרווח הזמן בו עליו לבדוק אם הנתונים שלו מעודכנים לגבי המאסטר.

נסה שוב: אם השרת הראשי אינו זמין - מכיוון שהוא חלה, נניח - עבור העבד לאחר פרק זמן לרענן, נסה שוב זה אומר לעבד כמה זמן לחכות לפני שניסה ליצור קשר שוב עם אדונו.

לפוג: אם העבד אינו יכול ליצור קשר עם אדונו למשך פרק זמן מסוים לפוגכך שאם מערכת היחסים בין אזור עבדים-אדונים הובלת, ולשרת העבדים אין ברירה אלא לפוג את האזור המדובר. תפוגת אזור על ידי שרת DNS עבד פירושה שהוא יפסיק להגיב לשאילתות DNS הקשורות לאזור זה, מכיוון שהנתונים הזמינים ישנים מכדי להיות שימושיים.

• האמור לעיל מלמד אותנו בעקיפין ועמוס בשכל ישר נהדר - הפחות נפוץ בחושים - שאם איננו זקוקים לשרתי DNS עבדים להפעלת SME שלנו, איננו מיישמים אותו, אלא אם כן הם נחוצים בהחלט. בואו תמיד ננסה לעבור מהפשוט למתחם.

מינימום: בגרסאות לפני כריכה 8.2, התקליט האחרון SOA זה מציין גם את משך החיים המוגדר כברירת מחדל - זמן ברירת המחדל לחיות, ומטמון שלילי לכל החיים - זמן מטמון שלילי לחיות לאזור. הפעם מתייחס לכל התגובות השליליות שניתנו על ידי השרת המוסמך לאזור.

קובץ אזור /var/named/dynamic/db.desdelinux.אוהד

[root@dns ~]# nano /var/named/dynamic/db.desdelinux.אוהד
$TTL 3H @ IN SOA dns.desdelinux.אוהד. root.dns.desdelinux.אוהד. (1; סדרתי 1D; רענון 1H; נסה שוב 1W; פג 3H); מינימום או ; זמן מטמון שלילי לחיות; @ IN NS dns.desdelinux.אוהד. @ IN MX 10 דוא"ל.desdelinux.אוהד. @ IN TXT "DesdeLinux, הבלוג שלו המוקדש לתוכנה חופשית "; Sysadmin in A 192.168.10.1 AD-DC IN A 192.168.10.3 FILESERVER IN A 192.168.10.4 DNS IN A 192.168.10.5 PROXYWEB IN A 192.168.10.6 IN A 192.168.10.7 IN. FTPSERVER ב-A 192.168.10.8 דואר IN A 192.168.10.9

אנו בודקים את /var/named/dynamic/db.desdelinux.אוהד

[root@dns ~]# named-checkzone desdelinux.fan /var/named/dynamic/db.desdelinux.אוהד
אזור desdelinux.fan/IN: נטען סדרתי 1 בסדר

אנו יוצרים את קובץ ה- Reverse Zone 10.168.192.in-addr.arpa

• רשומת ה- SOA של אזור זה זהה לזו של ה- Direct Zone מבלי להתחשב ברשומת ה- MX..

[root @ dns ~] # nano /var/named/dynamic/db.10.168.192.in-addr.arpa
$TTL 3H @ IN SOA dns.desdelinux.אוהד. root.dns.desdelinux.אוהד. (1; סדרתי 1D; רענון 1H; נסה שוב 1W; פג 3H); מינימום או ; זמן מטמון שלילי לחיות; @ IN NS dns.desdelinux.אוהד. ; 1 IN PTR sysadmin.desdelinux.אוהד. 3 IN PTR ad-dc.desdelinux.אוהד. שרת קבצים 4 IN PTR.desdelinux.אוהד. 5 IN PTR dns.desdelinux.אוהד. 6 IN PTR proxyweb.desdelinux.אוהד. בלוג 7 IN PTR.desdelinux.אוהד. 8 IN PTR ftpserver.desdelinux.אוהד. 9 בדואר PTR.desdelinux.אוהד.

[root @ dns ~] # named-checkzone 10.168.192.in-addr.arpa /var/named/dynamic/db.10.168.192.in-addr.arpa 
אזור 10.168.192.in-addr.arpa/IN: טורי סדרתי 1 בסדר

לפני הפעלה מחדש של השם אנו בודקים את תצורתו

• עד שאנו בטוחים שקבצי התצורה שצוינו, בשם.קונף, וקבצי האזור שלו אינם מוגדרים כראוי, אנו ממליצים לא להפעיל מחדש את הדמון. אם נעשה זאת ונשנה מאוחר יותר קובץ אזור, עלינו להגדיל את המספר הסידורי של האזור שהשתנה ב -1.

• בואו נסתכל על ה- "." בסוף שמות הדומיין והמארח.

[root @ dns ~] # named-checkconf 
[root @ dns ~] # named-checkconf -z
zone localhost.localdomain/IN: נטען טורי 0 zone localhost/IN: טעון טורי 0 zone 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0. .ip6.arpa/IN: טעון סדרתי 0 אזור 1.0.0.127.in-addr.arpa/IN: טעון סדרתי 0 אזור 0.in-addr.arpa/IN: טעון סדרתי 0 אזור desdelinux.fan/IN: טעון סדרתי 1 אזור 10.168.192.in-addr.arpa/IN: סידורי 1 נטען

כל התצורה בשם הנוכחי

כדי להשיג בהירות, ולמרות שהמאמר נעשה ארוך, אנו נותנים את הפלט המלא של הפקודה בשם-checkconf -zp:

[root @ dns ~] # named-checkconf -zp
zone localhost.localdomain/IN: נטען טורי 0 zone localhost/IN: טעון טורי 0 zone 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0. .ip6.arpa/IN: טעון סדרתי 0 אזור 1.0.0.127.in-addr.arpa/IN: טעון סדרתי 0 אזור 0.in-addr.arpa/IN: טעון סדרתי 0 אזור desdelinux.fan/IN: טעון סידורי 1 אזור 10.168.192.in-addr.arpa/IN: אפשרויות סדרתי 1 טעון { bindkeys-file "/etc/named.iscdlv.key"; session-keyfile "/run/named/session.key"; ספרייה "/var/named"; קובץ dump "/var/named/data/cache_dump.db"; יציאת האזנה 53 { 127.0.0.1/32; 192.168.10.5/32; }; יציאת האזנה ב-v6 53 { ::1/128; }; managed-keys-directory "/var/named/dynamic"; memstatistics-file "/var/named/data/named_mem_stats.txt"; pid-file "/run/named/named.pid"; קובץ סטטיסטיקה "/var/named/data/named_stats.txt"; dnssec-enable כן; אימות dnssec כן; רקורסיה לא; allow-query { "צפו"; }; אפשר-העברה { 192.168.10.1/32; }; }; acl "צפו" { 127.0.0.0/8; 192.168.10.0/24; }; רישום { ערוץ "default_debug" { קובץ "data/named.run"; חומרה דינמית; }; }; מפתח "dhcp-key" { אלגוריתם "hmac-md5"; סוד "OI7Vs+TO83L7ghUm2xNVKg=="; }; אזור "." IN { סוג רמז; קובץ "named.ca"; }; אזור "localhost.localdomain" IN { סוג מאסטר; הקובץ "named.localhost"; allow-update { "ללא"; }; }; אזור "localhost" IN { סוג מאסטר; הקובץ "named.localhost"; allow-update { "ללא"; }; }; אזור "1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa" IN { type master; קובץ "named.loopback"; allow-update { "ללא"; }; }; אזור "1.0.0.127.in-addr.arpa" IN { סוג מאסטר; קובץ "named.loopback"; allow-update { "ללא"; }; }; אזור "0.in-addr.arpa" IN { סוג מאסטר; קובץ "named.empty"; allow-update { "ללא"; }; }; אֵזוֹר"desdelinux.fan" { type master; file "dynamic/db.desdelinux.fan"; allow-update { key "dhcp-key"; }; }; אזור "10.168.192.in-addr.arpa" { סוג מאסטר; קובץ "dynamic/db.10.168.192.in-addr.arpa "; אפשר עדכון {מפתח" dhcp-key ";};}; מנוהל-קיז {". "מפתח ראשוני 257 3 8" aweaaagaiklvzrpc6ia7gezahor+9w29euxhjvbloyqbsew0o8gccjf fvqutfuxthpytsywapyew6o58gcjf fvqutf0gtpytsywypypyt0t8-0gipsywyt2 fl37mtjrkxox bfdaueavpquyehg9nzwajq496vnmvdxp/vhl5m/qzxkjf2/efucp6gad f6dsv68dobqzgul0sgicgoyl1oyqxfz9rels qagou+ipadtttjcgtabtabtabtabtabtabtabtabtabtabtabtabtabtabtabtabtabtabtabtabtabtabtabtabtabtabtabtabtaocl7aiqdx6rels. N3knnnulq qxa +Uk5ihz2="; };

• בעקבות נוהל שינוי ה- בשם.קונף בהתאם לצרכים שלנו ולבדוק, וליצור כל קובץ אזור ולבדוק אותו, אנו בספק שנצטרך להתמודד עם בעיות תצורה גדולות. בסופו של דבר אנו מבינים שזה משחק של ילד, עם הרבה מושגים ותחביר מטריד. 😉

הבדיקות החזירו תוצאות משביעות רצון, לכן נוכל להפעיל מחדש את ה- BIND - בשם.

אנו מפעילים מחדש את השם ובודקים את מצבו

[root @ dns ~] # הפעלה מחדש של systemctl בשם.שירות
[root @ dns ~] # systemctl status בשם.שירות

אם נקבל שגיאה כלשהי בפלט של הפקודה האחרונה, עלינו להפעיל מחדש את ה- בשם. שירות ובדוק מחדש את שלך מצב. אם השגיאות נעלמו, השירות התחיל בהצלחה. אחרת, עלינו לבצע סקירה יסודית של כל הקבצים ששונו ויצרו, ולחזור על הנוהל.

הפלט הנכון של הסטטוס צריך להיות:

[root @ dns ~] # systemctl status בשם.שירות
● named.service - דומיין שם האינטרנט של ברקלי (DNS) טעון: נטען (/usr/lib/systemd/system/named.service; מופעל; הגדרת הגדרות קבועות מראש של ספק: מושבתת) פעיל: פעיל (רץ) מאז יום ראשון 2017-01-29 10:05:32 EST; לפני 2 דקות 57 שניות תהליך: 1777 ExecStop=/bin/sh -c /usr/sbin/rndc stop > /dev/null 2>&1 || /bin/kill -TERM $MAINPID (קוד=יצא, סטטוס=0/SUCCESS) תהליך: 1788 ExecStart=/usr/sbin/named -u בשם $OPTIONS (קוד=יצא, סטטוס=0/SUCCESS) תהליך: 1786 ExecStartPre =/bin/bash -c אם [ ! "$DISABLE_ZONE_CHECKING" == "כן" ]; לאחר מכן /usr/sbin/named-checkconf -z /etc/named.conf; else echo "בדיקת קבצי אזור מושבתת"; fi (קוד=יוצא, מצב=0/הצלחה) PID ראשי: 1791 (שם) CGroup: /system.slice/named.service └─1791 /usr/sbin/named -u בשם 29 ינואר 10:05:32 dns named [1791]: אזור 1.0.0.127.in-addr.arpa/IN: טעון סדרתי 0 29 ינואר 10:05:32 dns בשם[1791]: אזור 10.168.192.in-addr.arpa/IN: נטען סדרתי 1 ינואר 29 10:05:32 dns named[1791]: אזור 1.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.ip6.arpa/IN : נטען סדרתי 0 בינואר 29 10:05:32 dns named[1791]: אזור desdelinux.fan/IN: נטען סדרתי ינואר 1 29 10:05:32 dns named[1791]: zone localhost.localdomain/IN: loaded serial Jan 0 29 10:05:32 dns named[1791]: zone localhost/IN: loaded סדרתי 0 בינואר 29 10:05:32 dns named[1791]: כל האזורים טעונים
29 בינואר 10:05:32 dns בשם [1791]: ריצה
29 בינואר 10:05:32 dns systemd [1]: התחיל דומיין שם האינטרנט של ברקלי (DNS). 29 בינואר 10:05:32 dns בשם [1791]: אזור 10.168.192.in-addr.arpa/IN: הודעות שליחה (סדרתי 1)

בדיקות

ניתן לבצע את הבדיקות על אותו שרת או על מכונה המחוברת לרשת LAN. אנחנו מעדיפים לעשות אותם מהקבוצה מנהל מערכת.desdelinux.אוהד אליהם נתנו אישור מפורש לבצע העברות אזוריות. הקובץ / Etc / resolv.conf של אותו צוות הוא:

buzz @ sysadmin: ~ $ cat /etc/resolv.conf 
# נוצר על ידי חיפוש NetworkManager desdelinuxשרת שמות .fan 192.168.10.5

buzz@sysadmin:~$ לחפור desdelinux.מעריץ axfr
; <<>> DiG 9.9.5-9+deb8u1-Debian <<>> desdelinux.מעריץ axfr ;; אפשרויות גלובליות: +cmd
desdelinux.אוהד. 10800 IN SOA dns.desdelinux.אוהד. root.dns.desdelinux.אוהד. 1 86400 3600 604800 10800
desdelinux.אוהד. 10800 IN NS dns.desdelinux.אוהד.
desdelinux.אוהד. דוא"ל 10800 IN MX 10.desdelinux.אוהד.
desdelinux.אוהד. 10800 IN TXT"DesdeLinux, הבלוג שלך המוקדש לתוכנה חופשית" ad-dc.desdelinux.אוהד. 10800 בבלוג 192.168.10.3.desdelinux.אוהד. 10800 IN A 192.168.10.7 דנס.desdelinux.אוהד. שרת קבצים 10800 IN TO 192.168.10.5.desdelinux.אוהד. 10800 IN A 192.168.10.4 ftpserver.desdelinux.אוהד. 10800 בדואר 192.168.10.8.desdelinux.אוהד. 10800 IN A 192.168.10.9 proxyweb.desdelinux.אוהד. 10800 IN A 192.168.10.6 מנהל מערכת.desdelinux.אוהד. 10800 IN TO 192.168.10.1
desdelinux.אוהד. 10800 IN SOA dns.desdelinux.אוהד. root.dns.desdelinux.אוהד. 1 86400 3600 604800 10800 ;; זמן שאילתה: 0 msec ;; שרת: 192.168.10.5#53(192.168.10.5) ;; מתי: ראשון 29 בינואר 11:44:18 EST 2017 ;; גודל XFR: 13 רשומות (הודעות 1, בתים 385)

buzz @ sysadmin: ~ $ dig 10.168.192.in-addr.arpa axfr
; <<>> DiG 9.9.5-9+deb8u1-Debian <<>> 10.168.192.in-addr.arpa axfr ;; אפשרויות גלובליות: +cmd 10.168.192.in-addr.arpa. 10800 IN SOA dns.desdelinux.fan.10.168.192.in-addr.arpa. root.dns.desdelinux.fan.10.168.192.in-addr.arpa. 1 86400 3600 604800 10800 10.168.192.in-addr.arpa. 10800 IN NS dns.desdelinux.אוהד. 1.10.168.192.in-addr.arpa. 10800 IN PTR sysadmin.desdelinux.אוהד. 3.10.168.192.in-addr.arpa. 10800 IN PTR ad-dc.desdelinux.אוהד. 4.10.168.192.in-addr.arpa. שרת קבצים 10800 IN PTR.desdelinux.אוהד. 5.10.168.192.in-addr.arpa. 10800 IN PTR dns.desdelinux.אוהד. 6.10.168.192.in-addr.arpa. 10800 IN PTR proxyweb.desdelinux.אוהד. 7.10.168.192.in-addr.arpa. בלוג 10800 IN PTR.desdelinux.אוהד. 8.10.168.192.in-addr.arpa. שרת ftp 10800 IN PTR.desdelinux.אוהד. 9.10.168.192.in-addr.arpa. 10800 בדואר PTR.desdelinux.אוהד. 10.168.192.in-addr.arpa. 10800 IN SOA dns.desdelinux.fan.10.168.192.in-addr.arpa. root.dns.desdelinux.fan.10.168.192.in-addr.arpa. 1 86400 3600 604800 10800 ;; זמן שאילתה: 0 msec ;; שרת: 192.168.10.5#53(192.168.10.5) ;; מתי: ראשון 29 בינואר 11:44:57 EST 2017 ;; גודל XFR: 11 רשומות (הודעות 1, בתים 352)

buzz@sysadmin:~$ לחפור ב-SOA desdelinux.אוהד
buzz@sysadmin:~$ לחפור ב-MX desdelinux.fan buzz@sysadmin:~$ לחפור ב-TXT desdelinux.אוהד
buzz @ sysadmin: ~ $ dns מארח
dns.desdelinuxל-.fan יש כתובת 192.168.10.5
buzz @ sysadmin: ~ $ host sysadmin
מנהל מערכת.desdelinuxל-.fan יש כתובת 192.168.10.1 ... וכל בדיקה אחרת שאנחנו צריכים

• עד כה יש לנו בסיס לשרת DNS ברשת ה- SME שלנו. אנו מקווים שנהניתם מההליך כולו, שהיה די פשוט, נכון? 😉

אנו מתקינים ומגדירים את התצורה של DHCP

[root @ dns ~] # yum להתקין dhcp
תוספים טעונים: המהיר מירור, langpacks בסיס בסיסי | 3.4 kB 00:00:00 centos-updates | 3.4 kB 00:00:00 טעינת מהירויות מראה מהקובץ המארח במטמון פתרון תלות -> הפעלת בדיקת עסקאות ---> חבילה dhcp.x86_64 12: 4.2.5-42.el7.centos חייבים להתקין -> פתרון תלות הסתיימו תלות נפתרת ================================================= ===================================================== ===================================== גודל מאגר גרסאות ארכיטקטורת חבילה ============ ===================================================== ===================================================== ======================= התקנה: dhcp x86_64 12: 4.2.5-42.el7.centos-base 511k סיכום עסקאות ==== ===================================================== ===================================================== ============================= התקן 1 חבילה גודל הורדה כולל: 511k גודל מותקן: 1.4 M האם זה בסדר [y / d / N]: y הורדת חבילות: dhcp-4.2.5-42.el7.centos.x86_64.rpm | 511 kB 00:00:00 הפעלת בדיקת עסקה הפעלת בדיקת עסקאות בדיקת עסקאות הצליחה הפעלת עסקה התקנה: 12: dhcp-4.2.5-42.el7.centos.x86_64 1/1 בדיקה: 12: dhcp-4.2.5-42. el7.centos.x86_64 1/1 מותקן: dhcp.x86_64 12: 4.2.5-42.el7.centos בוצע!

[root @ dns ~] # nano /etc/dhcp/dhcpd.conf
# # קובץ תצורת שרת DHCP. # ראה /usr/share/doc/dhcp*/dhcpd.conf.example # ראה דף אדם של dhcpd.conf(5) # ddns-update-style interim; ddns-עדכונים על; ddns-domainname "desdelinux.fan."; ddns-rev-domainname "in-addr.arpa."; התעלם מעדכוני לקוח; סמכותי; אפשרות העברת ip כבויה; אפשרות שם תחום "desdelinux.fan"; # option ntp-servers 0.pool.ntp.org, 1.pool.ntp.org, 2.pool.ntp.org, 3.pool.ntp.org; כוללים "/etc/dhcp.key" אזור desdelinux.אוהד. { ראשי 127.0.0.1; מפתח dhcp-key; } אזור 10.168.192.in-addr.arpa. { ראשי 127.0.0.1; מפתח dhcp-key; } רשת משותפת redlocal { subnet 192.168.10.0 netmask 255.255.255.0 { אופציה נתבים 192.168.10.1; אפשרות רשת משנה 255.255.255.0; אפשרות שידור-כתובת 192.168.10.255; אפשרות שרתי דומיין 192.168.10.5; אפשרות netbios-name-servers 192.168.10.5; טווח 192.168.10.30 192.168.10.250; } } # END dhcpd.conf

[root @ dns ~] # dhcpd -t
קונסורציום מערכות אינטרנט אינטרנט שרת DHCP 4.2.5 זכויות יוצרים 2004-2013 קונסורציום מערכות אינטרנט. כל הזכויות שמורות. למידע, בקר בכתובת https://www.isc.org/software/dhcp/ לא מחפש ב- LDAP מכיוון ש- ldap-server, ldap-port ו- ldap-base-dn לא צוינו בקובץ התצורה.

[root @ dns ~] # systemctl מאפשר dhcpd
נוצר קישור סימלי מ /etc/systemd/system/multi-user.target.wants/dhcpd.service אל /usr/lib/systemd/system/dhcpd.service.

[root @ dns ~] # systemctl התחל dhcpd

[root @ dns ~] # systemctl status dhcpd
● dhcpd.service - שרת ה- DHCPv4 שרת טעון: טעון (/usr/lib/systemd/system/dhcpd.service; מופעל; הגדרת הגדרות קבוע מראש: מושבתת) פעיל: פעיל (פועל) מאז dom 2017-01-29 12:04:59 IT T; לפני 23 שניות Docs: man: dhcpd (8) man: dhcpd.conf (5) PID ראשי: 2381 (dhcpd) סטטוס: "משלוח מנות ..." CGroup: /system.slice/dhcpd.service 2381─29 / usr / sbin / dhcpd -f -cf /etc/dhcp/dhcpd.conf -user dhcpd -group dhcpd - no-pid 12 בינואר 04:59:2381 dns dhcpd [4.2.5]: שרת DHCP מערכות מערכות אינטרנט 29 12 בינואר 04 : 59: 2381 dns dhcpd [2004]: זכויות יוצרים 2013-29 קונסורציום מערכות אינטרנט. 12 בינואר 04:59:2381 dns dhcpd [29]: כל הזכויות שמורות. 12 בינואר 04:59:2381 dns dhcpd [29]: למידע, אנא בקר בכתובת https://www.isc.org/software/dhcp/ 12 בינואר 04:59:2381 dns dhcpd [29]: לא מחפש ב- LDAP מאז ldap -שרת, ldap-port ו- ldap-base-dn לא צוינו בקובץ התצורה 12 בינואר 04:59:2381 dns dhcpd [0]: נכתב 29 קובץ שכירות לשכירות. 12 בינואר 04:59:2381 dns dhcpd [0]: האזנה ב- LPF / eth52 / 54: 00: 12: 17: 04: 29 / redlocal 12 בינואר 04:59:2381 dns dhcpd [0]: שליחה ב- LPF / eth52 / 54: 00: 12: 17: 04: 29 / מיקוד מחדש 12 בינואר 04:59:2381 dns dhcpd [29]: שליחה ב- Socket / fallback / fallback-net 12 בינואר 04:59:1 dns systemd [4]: התחיל שרת השרת DHCPvXNUMX.

מה נותר לעשות?

פָּשׁוּט. הפעל Windows 7 או לקוח אחר באמצעות תוכנה חופשית והתחל לבדוק ולבדוק. עשינו זאת עם שני לקוחות: שבע.desdelinux.אוהד y suse-desktop.desdelinux.אוהד. השיקים היו כדלקמן:

buzz @ sysadmin: ~ $ מארח שבעה
שבע.desdelinuxל-.fan יש כתובת 192.168.10.30

buzz@sysadmin:~$ מארח שבע.desdelinux.אוהד
שבע.desdelinuxל-.fan יש כתובת 192.168.10.30

buzz@sysadmin:~$ לחפור IN TXT שבע.desdelinux.אוהד
.... ;; קטע שאלה: שבע.desdelinux.אוהד. IN TXT ;; סעיף תשובות: שבע.desdelinux.אוהד. 3600 IN TXT"31b7228ddd3a3b73be2fda9e09e601f3e9"....

אנו משנים את שם הצוות "שבע" ל"לאגר "ומבצעים אתחול מחדש. לאחר הפעלה מחדש של ה- LAGER החדש, אנו בודקים:

buzz @ sysadmin: ~ $ מארח שבעה
מארח שבעה לא נמצא: 5 (סירוב)

buzz@sysadmin:~$ מארח שבע.desdelinux.אוהד
מארח שבעה.desdelinux.fan לא נמצא: 3(NXDOMAIN)

זמזום@sysadmin: ~ לאגר מארח
לאגר.desdelinuxל-.fan יש כתובת 192.168.10.30

זמזום@sysadmin:~$לאגר מארח.desdelinux.אוהד
לאגר.desdelinuxל-.fan יש כתובת 192.168.10.30

buzz@sysadmin:~$ לחפור IN TXT lager.desdelinux.אוהד
.... ;; קטע שאלה: לאגר.desdelinux.אוהד. IN TXT ;; סעיף תשובה: לאגר.desdelinux.אוהד. 3600 IN TXT"31b7228ddd3a3b73be2fda9e09e601f3e9"....

לגבי לקוח suse-desktop:

buzz @ sysadmin: ~ $ מארח suse-desktop
שולחן העבודה המארח לא נמצא: 5 (סירוב)

buzz @ sysadmin: ~ $ מארח suse-desktop
suse-desktop.desdelinuxל-.fan יש כתובת 192.168.10.33

buzz@sysadmin:~$ מארח suse-desktop.desdelinux.אוהד
suse-desktop.desdelinuxל-.fan יש כתובת 192.168.10.33

buzz @ sysadmin: ~ $ מארח 192.168.10.33
33.10.168.192.in-addr.arpa מצביע שם דומיין suse-desktop.desdelinux.אוהד.

buzz @ sysadmin: ~ $ מארח 192.168.10.30
30.10.168.192.in-addr.arpa מצביע שם דומיין LAGER.desdelinux.אוהד.

buzz @ sysadmin: ~ $ dig -x 192.168.10.33
.... ;; מדור שאלה: ;33.10.168.192.in-addr.arpa. IN PTR ;; סעיף תשובה: 33.10.168.192.in-addr.arpa. 3600 IN PTR suse-desktop.desdelinux.אוהד. ;; מדור הרשות: 10.168.192.in-addr.arpa. 10800 IN NS dns.desdelinux.אוהד. ;; סעיף נוסף: dns.desdelinux.אוהד. 10800 IN TO 192.168.10.5 ....

buzz@sysadmin:~$ לחפור IN TXT suse-desktop.desdelinux.אוהד....
;suse-desktop.desdelinux.אוהד. IN TXT ;; סעיף תשובה: suse-desktop.desdelinux.אוהד. 3600 IN TXT "31b78d287769160c93e6dca472e9b46d73"

; סעיף סמכות:
desdelinux.אוהד. 10800 IN NS dns.desdelinux.אוהד. ;; סעיף נוסף: dns.desdelinux.אוהד. 10800 IN TO 192.168.10.5
....

בואו נפעיל גם את הפקודות הבאות

[root@dns ~]# חפירה desdelinux.מעריץ axfr
; <<>> DiG 9.9.4-RedHat-9.9.4-29.el7_2.4 <<>> desdelinux.מעריץ axfr ;; אפשרויות גלובליות: +cmd
desdelinux.אוהד. 10800 IN SOA dns.desdelinux.אוהד. root.dns.desdelinux.אוהד. 6 86400 3600 604800 10800
desdelinux.אוהד. 10800 IN NS dns.desdelinux.אוהד.
desdelinux.אוהד. דוא"ל 10800 IN MX 10.desdelinux.אוהד.
desdelinux.אוהד. 10800 IN TXT"DesdeLinux, הבלוג שלך המוקדש לתוכנה חופשית" ad-dc.desdelinux.אוהד. 10800 בבלוג 192.168.10.3.desdelinux.אוהד. 10800 IN A 192.168.10.7 דנס.desdelinux.אוהד. שרת קבצים 10800 IN TO 192.168.10.5.desdelinux.אוהד. 10800 IN A 192.168.10.4 ftpserver.desdelinux.אוהד. 10800 IN A 192.168.10.8 LAGER.desdelinux.אוהד. 3600 IN TXT"31b7228ddd3a3b73be2fda9e09e601f3e9"לאגר.desdelinux.אוהד.   3600 במייל 192.168.10.30.desdelinux.אוהד. 10800 IN A 192.168.10.9 proxyweb.desdelinux.אוהד. 10800 IN A 192.168.10.6 suse-desktop.desdelinux.אוהד. 3600 IN TXT"31b78d287769160c93e6dca472e9b46d73" suse-desktop.desdelinux.אוהד. 3600 IN A 192.168.10.33 מנהל מערכת.desdelinux.אוהד. 10800 IN TO 192.168.10.1
desdelinux.אוהד. 10800 IN SOA dns.desdelinux.אוהד. root.dns.desdelinux.אוהד. 6 86400 3600 604800 10800

בפלט לעיל הדגשנו על נוֹעָז ה TTL -בשניות - למחשבים עם כתובות IP המוענקות על ידי שירות DHCP, אלה שיש להם הצהרה מפורשת על ה- TTL 3600 שניתנה על ידי ה- DHCP. כתובות IP קבועות מונחות על ידי $ TTL של 3 שעות -3 שעות = 10800 שניות - המוצהר ברשומת ה- SOA של כל קובץ אזור.

הם יכולים גם לבדוק את האזור ההפוך.

[root @ dns ~] # dig 10.168.192.in-addr.arpa axfr

פקודות מעניינות במיוחד הן:

[root@dns ~]# named-journalprint /var/named/dynamic/db.desdelinux.fan.jnl
[root @ dns ~] # named-journalprint /var/named/dynamic/db.10.168.192.in-addr.arpa.jnl
[root @ dns ~] # journalctl -f

שינוי ידני של קבצי אזורים

לאחר DHCP נכנס למשחק של עדכון דינמי של קבצי האזור של בשםאם נצטרך לשנות ידנית קובץ אזור, עלינו לבצע את ההליך הבא, אך לא לפני שנדע מעט יותר על פעולת השירות. rndc לבקרת שרת שמות.

[root @ dns ~] # man rndc
....
       להקפיא [אזור [מחלקה [תצוגה]]]
           השהיית עדכונים לאזור דינמי. אם לא מוגדר אזור, כל האזורים מושעים. זה מאפשר לערוך ידניות באזור המעודכן בדרך כלל על ידי עדכון דינמי. זה גם גורם לסינכרון שינויים בקובץ היומן לקובץ הראשי. כל ניסיונות העדכון הדינמיים יידחו בזמן שהאזור קפוא.

       להפשיר [אזור [מחלקה [תצוגה]]]
           אפשר עדכונים לאזור דינמי קפוא. אם לא צוין אזור, כל האזורים הקפואים מופעלים. זה גורם לשרת לטעון מחדש את האזור מהדיסק, ולהפעיל מחדש עדכונים דינמיים לאחר השלמת הטעינה. לאחר הפשרת אזור, עדכונים דינמיים כבר לא יסורבו. אם האזור השתנה ואופציית ixfr-from-difference נמצאת בשימוש, קובץ היומן יעודכן כך שישקף שינויים באזור. אחרת, אם האזור השתנה, כל קובץ יומן קיים יוסר. ....

מה, חשבת שאני הולך לתמלל את כל המדריך? ... חתיכה והם נוסעים במכונית. את השאר אני משאיר לך. 😉

בעיקרון:

• הקפאת rndc [אזור [מחלקה [תצוגה]]], משעה את העדכון הדינמי של אזור. אם לא צוין אחד מהם, הכל יקפא. הפקודה מאפשרת עריכה ידנית של האזור הקפוא או של כל האזורים. כל עדכון דינמי יידחה כשהוא מוקפא.
• להפשיר rndc [אזור [מחלקה [תצוגה]]], מאפשר עדכונים דינמיים באזור קפוא בעבר. שרת ה- DNS טוען מחדש את קובץ האזור מהדיסק, ועדכונים דינמיים מופעלים מחדש לאחר השלמת הטעינה מחדש.

אזהרות שיש לנקוט כאשר אנו עורכים ידנית קובץ אזור? אותו הדבר כאילו היינו יוצרים אותו, מבלי לשכוח להגדיל את המספר הסידורי ב -1 או סידורי לפני שמירת הקובץ עם השינויים הסופיים.

לדוגמה:

[root @ dns ~] # הקפאת rndc desdelinux.אוהד

[root@dns ~]# nano /var/named/dynamic/db.desdelinux.אוהד
אני משנה את קובץ האזור מכל סיבה שהיא, נחוצה או לא. אני שומר את השינויים

[root @ dns ~] # rndc הפשרה desdelinux.אוהד
התחל לטעון מחדש ולהפשיר אזור. בדוק ביומנים כדי לראות את התוצאה.

[root @ dns ~] # journalctl -f
29 ינואר 14:06:46 dns בשם[2257]: אזור ההפשרה 'desdelinux.fan/IN': הצלחה
ינואר 29 14:06:46 dns בשם[2257]: אזור desdelinux.fan/IN: אזור סידורי (6) ללא שינוי. אזור עלול להיכשל בהעברת עבדים.
ינואר 29 14:06:46 dns בשם[2257]: אזור desdelinux.fan/IN: סידורי 6 נטען

השגיאה בפלט הקודם, המוצגת באדום בקונסולה, נובעת מהעובדה ש"שכחתי "להגדיל את המספר הסידורי ב- 1. אם הייתי מבצע את ההליך נכון, הפלט היה:

[root @ dns ~] # journalctl -f
-- היומנים מתחילים ביום ראשון 2017-01-29 08:31:32 EST. -- ינואר 29 14:06:46 dns בשם[2257]: אזור desdelinux.fan/IN: נטען סדרתי 6 בינואר 29 14:10:01 dns systemd[1]: התחילה הפעלה 43 של שורש המשתמש. 29 ינואר 14:10:01 dns systemd[1]: התחלת הפעלה 43 של שורש המשתמש. Jan 29 14:10:01 dns CROND[2693]: (root) CMD (/usr/lib64/sa/sa1 1 1) Jan 29 14:10:45 dns named[2257]: קיבל פקודת ערוץ בקרה 'הקפאה' desdelinux.fan' Jan 29 14:10:45 dns named[2257]: freezing zone 'desdelinux.fan/IN': success Jan 29 14:10:58 dns named[2257]: קיבל את פקודת ערוץ הבקרה 'thaw desdelinux.fan' 29 ינואר 14:10:58 dns named[2257]: אזור ההפשרה 'desdelinux.fan/IN': success Jan 29 14:10:58 dns named[2257]: zone desdelinux.fan/IN: קובץ היומן אינו מעודכן: מסיר קובץ יומן 29 ינואר 14:10:58 dns named[2257]: zone desdelinux.fan/IN: סידורי 7 נטען

• קורא חברים, אני חוזר ועליך לקרוא בעיון את תפוקות הפקודות. עבור משהו שהמפתחים שלו השקיעו כל כך הרבה עבודה בתכנות כל פקודה, לא משנה כמה זה פשוט.

תקציר

עד כה התייחסנו ליישום צמד ה- DNS - DHCP, שירותים חשובים ומכריעים לביצועים הטובים של רשת ה- SME שלנו, בהתייחסו למתן כתובות דינמיות באמצעות DHCP ולרזולוציה של שמות מחשבים ותחומים באמצעות DNS.

אנו מאוד מקווים שנהניתם מההליך כולו כפי שעשינו. למרות שזה אולי נראה קשה יותר בשימוש בקונסולה, קל וחינוכי יותר ליישם שירות ב- UNIX® / Linux בעזרתו.

הם סולחים לי על כל פרשנות שגויה של מושגים שנחשבו, נוצרו, נכתבו, תוקנו, שכתבו ושפורסמו בשפתו של שייקספיר, ולא סרוונטס. 😉

המסירה הבאה

אני חושב שקצת יותר מאותו הדבר - עם תוספות תיאורטיות ברשומות DNS - אבל בדביאן. אנחנו לא יכולים לשכוח את ההפצה הזו, נכון?